Uso di Rete per la distribuzione di contenuti di Azure con SAS
Importante
Rete CDN di Azure Standard di Microsoft (versione classica) verrà ritirato il 30 settembre 2027. Per evitare interruzioni del servizio, è importante eseguire la migrazione dei profili Rete CDN di Azure Standard da Microsoft (versione classica) al livello Frontdoor di Azure Standard o Premium entro il 30 settembre 2027. Per altre informazioni, vedere Ritiro di Rete CDN di Azure Standard di Microsoft (versione classica).
Rete CDN di Azure di Edgio è stato ritirato 15 gennaio 2025. Per altre informazioni, vedere Rete CDN di Azure da Domande frequenti sul ritiro di Edgio.
Quando si configura un account di archiviazione per Rete per la distribuzione di contenuti di Azure da usare per memorizzare il contenuto nella cache, per impostazione predefinita chiunque conosca gli URL per i contenitori di archiviazione può accedere ai file che sono stati caricati. Per proteggere i file nell'account di archiviazione, è possibile impostare l'accesso dei contenitori di archiviazione da pubblico a privato. In questa caso, tuttavia, nessuno può accedere ai file.
Se si vuole concedere l'accesso limitato ai contenitori di archiviazione privati, è possibile usare la funzionalità di firma di accesso condiviso dell'account di archiviazione di Azure. Una firma di accesso condiviso è un URI che concede diritti di accesso limitati alle risorse di Archiviazione di Azure senza esporre la chiave dell'account. È possibile fornire una firma di accesso condiviso (SAS) ai client ai quali non si affida la propria chiave dell'account di archiviazione ma ai quali si vuole delegare l'accesso a determinate risorse dell'account di archiviazione. Distribuendo un URI di firma di accesso condiviso a tali client, si concede loro l'accesso a una risorsa per un periodo di tempo specificato.
La firma di accesso condiviso consente di definire vari parametri di accesso a un BLOB, ad esempio l'ora di inizio e di scadenza, le autorizzazioni (di lettura/scrittura) e gli intervalli IP. Questo articolo descrive come usare la firma di accesso condiviso con Rete per la distribuzione di contenuti di Azure. Per altre informazioni sulla firma di accesso condiviso, incluse le procedure per crearla e le opzioni dei parametri, vedere Uso delle firme di accesso condiviso.
Configurazione di Rete per la distribuzione di contenuti di Azure per l'uso con una firma di accesso condiviso di archiviazione
Per l'uso della firma di accesso condiviso con Rete per la distribuzione di contenuti di Azure sono consigliate le due opzioni seguenti. Per tutte le opzioni, si presuppone che sia stata già creata una firma di accesso condiviso (vedere i prerequisiti).
Prerequisiti
Per iniziare, creare un account di archiviazione e quindi generare una firma di accesso condiviso per l'asset. È possibile generare due tipi di firme di accesso condiviso: una firma di accesso condiviso del servizio o una firma di accesso condiviso dell'account. Per altre informazioni, vedere Tipi di firme di accesso condiviso.
Dopo aver generato un token di firma di accesso condiviso, è possibile accedere al file di archiviazione BLOB aggiungendo ?sv=<SAS token> all'URL. Questo URL ha il formato seguente:
https://<account name>.blob.core.windows.net/<container>/<file>?sv=<SAS token>
Ad esempio:
https://democdnstorage1.blob.core.windows.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=co&sp=r&se=2038-01-02T21:30:49Z&st=2018-01-02T13:30:49Z&spr=https&sig=QehoetQFWUEd1lhU5iOMGrHBmE727xYAbKJl5ohSiWI%3D
Per altre informazioni sull'impostazione dei parametri, vedere Considerazioni sui parametri SAS e Parametri della firma di accesso condiviso.
Uso della firma di accesso condiviso con pass-through all'archiviazione BLOB da Azure rete per la distribuzione di contenuti
Questa opzione è la più semplice e usa un singolo token SAS, che viene passato da Rete per la distribuzione di contenuti di Azure al server di origine.
Selezionare un endpoint, fare clic su Regole di memorizzazione nella cache, quindi selezionare Memorizza nella cache tutti gli URL univoci dall'elenco Query string caching (Memorizzazione nella cache della stringa di query).
Dopo aver configurato la firma di accesso condiviso nell'account di archiviazione, è necessario usare il token SAS con gli URL del server di origine e dell'endpoint della rete per la distribuzione di contenuti per accedere al file.
L'URL dell'endpoint della rete per la distribuzione di contenuti risultante ha il formato seguente:
https://<endpoint hostname>.azureedge.net/<container>/<file>?sv=<SAS token>Ad esempio:
https://demoendpoint.azureedge.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=c&sp=r&se=2027-12-19T17:35:58Z&st=2017-12-19T09:35:58Z&spr=https&sig=kquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3DSpecificare la durata della cache tramite le regole di memorizzazione nella cache o aggiungendo intestazioni
Cache-Controlal server di origine. Poiché Rete per la distribuzione di contenuti di Azure considera il token SAS come una stringa di query semplice, la procedura consigliata consiste nella configurazione della durata della memorizzazione nella cache con scadenza alla stessa ora o prima della scadenza della firma di acceso condiviso. In caso contrario, se un file viene memorizzato nella cache per un periodo più lungo di quello in cui la firma di accesso condiviso è attiva, una volta scaduta la firma di accesso condiviso, il file potrebbe essere accessibile dal server di origine di Rete per la distribuzione di contenuti di Azure. In questo caso, se si desidera rendere inaccessibile il file memorizzato nella cache, è necessario eseguire un'operazione di ripulitura sul file per cancellarlo dalla cache. Per informazioni sull'impostazione della durata della cache in Rete per la distribuzione di contenuti di Azure, vedere Controllare il comportamento di memorizzazione nella cache di Rete per la distribuzione di contenuti di Azure con regole di memorizzazione nella cache.
Considerazioni sui parametri della firma di accesso condiviso
Poiché i parametri della firma di accesso condiviso non sono visibili a Rete per la distribuzione di contenuti di Azure, Rete per la distribuzione di contenuti di Azure non può modificarne il comportamento di distribuzione in base a tali parametri. Le restrizioni dei parametri definite si applicano solo alle richieste effettuate da Rete per la distribuzione di contenuti di Azure al server di origine e non alle richieste dal client a Rete per la distribuzione di contenuti di Azure. È importante tenere presente questa distinzione quando si impostano i parametri della firma di accesso condiviso.
| Nome del parametro della firma di accesso condiviso | Descrizione |
|---|---|
| Inizio | L'ora in cui Rete per la distribuzione di contenuti di Azure può iniziare ad accedere al file BLOB. A causa dello sfasamento del clock (quando un segnale di clock perviene in momenti diversi per i diversi componenti), scegliere un'ora con 15 minuti di anticipo se si vuole che l'asset sia immediatamente disponibile. |
| Fine | L'ora dopo la quale Rete per la distribuzione di contenuti di Azure non può più accedere al file BLOB. I file precedentemente memorizzati nella cache in Rete per la distribuzione di contenuti di Azure sono ancora accessibili. Per controllare l'ora di scadenza dei file, impostare l'ora di scadenza appropriata nel token di sicurezza di Rete per la distribuzione di contenuti di Azure o rimuovere l'asset. |
| Indirizzi IP consentiti | Facoltativo. |
| Protocolli consentiti | I protocolli consentiti per una richiesta effettuata con la firma di acceso condiviso dell'account. È consigliabile usare l'impostazione HTTPS. |
Passaggi successivi
Per altre informazioni sulla firma di accesso condiviso, vedere gli articoli seguenti:
- Uso delle firme di accesso condiviso
- Firme di accesso condiviso, parte 2: creare e usare una firma di accesso condiviso con l'archiviazione BLOB
Per altre informazioni sulla configurazione dell'autenticazione basata su token, vedere Protezione di asset della rete per la distribuzione di contenuti (CDN) di Azure con l'autenticazione basata su token.